编者按:本文来自微信公众号“运营研究社”(ID:U_quan),作者套路编辑部,36氪经授权发布。
昨天,PGone和李小璐一年前的抖音视频突然在网上刷屏,也让销声匿迹许久的两人再次登上了微博热搜。不少网友感叹:
这瓜吃的,都不知道该说什么好了。
但这次吃瓜事件的背后,更让人沉思的是:视频是怎么被放出来的呢?
有网友猜测,这是“存在抖音草稿箱的视频,被内部员工窃取”,还有人说这是“手机视频被人盗取后发出”……但不论真相如何,都逃不出“隐私泄露”这4个字。
这不禁让我联想到了前两天我遇到的事情。
眼看着双十一就要到了,我也按捺不住买买买的冲动开始囤货。经过一个小时的奋战,购物车被我填的满满当当,但想想自己那只剩3位数的账户余额……好吧,还是先看看抖音上的沙雕视频压压惊吧。
可当我打开App后,却发现抖音上的广告竟然就是我刚刚逛过的同款商品!随后,我又打开朋友圈,竟又看见了自己刚刚看过的商品。
有类似经历的绝对不止我一个人,甚至还有不少网友吐槽:
跟朋友在聊天时提到某样东西,转眼刷App的时候就被推送了广告!
现在互联网广告的精准投放,简直“体贴”得吓人!
虽然早就知道App们一直越界获取用户信息,可他们到底是如何获取我们隐私信息的?又为什么能够这么精准地跨平台推送广告呢?
是怎么精确投放到你手机上的
关于这些被精准投放的广告,最让我费解的是,为什么我上一秒在购物平台上浏览的商品,下一秒就会出现在其他App上?
原来,这些App早就组成了联盟,连起手来收割我们。实际上,跨平台精确投放的“元凶”是——程序化广告。
所谓的程序化广告,并不是一种广告或是App插件,而是一种通过大数据收集用户信息,然后将广告精准地投放给用户的技术。
简单来说,程序化广告就是互联网时代的新型广告投放方式。现在这种程序化广告投放方式,已经渗入到互联网的每一个角落。
首先,程序化广告会依靠大数据来记录用户的网络行为。
在大数据的观测下,我们在手机软件上的每一个行为操作、每个浏览记录、关注内容、使用的App等信息都会被记录,并根据不同的行为权重对用户进行画像。
正常情况下,我们的手机和电脑,都有对应的唯一设备ID号。所以大数据平台一般会将设备ID号作为用户为标识,并将采集到的信息整合到设备ID上来。
然后,在采集到足够多的数据后,大数据就能非常精准的描绘出一个用户的画像特征,比如兴趣偏好、财产状况、消费观念、文化水平……
最后,大数据平台会将你的画像分类。一旦有符合你特征的广告出现,程序化广告系统就会找到你,向你定向投放该广告。
举个例子,假如你在电商平台看上了一款新出的名牌包包,顺手点进了商品界面。一旦你开始浏览这件商品,程序化广告就能捕捉到你的行为。
然后它根据大数据,分析你的性别、年龄、爱好、浏览历史等,判断你最近有买包的需求。于是它又在海量的广告库中,找到与你“气味相投”的商品,并将广告投放到你打开的App上。
看到这里,我不禁想起了经典小说《1984》里的那句“老大哥时刻都在看着你!”
在大数据和程序化广告面前,我们仿佛都是裸奔的羔羊,毫无隐私可言。
实际上,程序化广告产业内有一个类似于股票交易的平台,每一条广告精准推送到用户的过程,都是围绕着这个交易平台进行的。
在真实的交易过程中,有一个面向广告投放者的“需求方平台”(简称DSP平台),还有一个面向用户的“供应方平台”(简称SSP或者ADExchange)。
当你打开手机App,软件检测到页面有对应的广告位,于是软件就会采集你的信息,并向供应方平台(SSP&ADExchange)发送消息:这里有一个用户可以投放广告。
供应方平台(SSP&ADExchange)收到信息后会先分析你的特征,找到与你对应的肖像标签,然后告诉需求方平台(DSP):这里有一个特征为“XXX”的用户,快通知对应的广告主们来竞价呀!
随后,需求方平台(DSP)就通知对应的广告商程序前去竞价。
接着,供应方平台(SSP&ADExchange)就在这些参与竞价的广告中挑选出高价广告,并让App上的广告位显示该广告。
而这些过程一共不超过1秒,也就是说在你打开App的那一瞬间,程序化广告的运作就已经完成了。
于是,你刚刚搜过,或者你经常浏览的东西,就总能出现在你登陆的平台广告里。
如果仅就模式而言,程序化广告只是一种精准营销的广告手段,将商品广告定向投放到目标用户,并没有太多值得指责之处。
但是,这种广告精投所依托的大数据平台,却是建立在手机App过度索权,收集我们个人信息的基础上的。
在上文中曾提到,程序化广告的竞价平台类似于股票交易平台,双方传递的是需求,而不会直接交易用户的标签信息。
这是不是意味着,尽管我们的个人隐私被App软件侵犯,但仍只不过是多看些广告,而没有太大的危害呢?
很遗憾,实际情况却并非如此。因为在现实中,这些软件平台并不能很好地保护软件所采集的信息,不法分子往往能轻易的针对平台漏洞爬取用户隐私。
今年9月19日,工信部官网公布的第二季度的32款应用软件检测名单里,有21个都因非法获取用户隐私而被列入黑名单。
而在“App专项治理工作组”发布的《百款常用App申请收集使用个人信息权限列表》里,手机软件过度索权的问题更加让人心惊。
《百款常用App申请收集使用个人信息权限列表》部分
在这份表格里的26项个人信息相关权限中,平均每个App申请手机权限超过10项。几乎所有软件都会申请与自身功能无关的权限,其用途就是程序化广告推送。
这些软件为了能够采集到用户的个人信息,会采取各种坑人的套路。我下载了多个名单上的App软件,发现了以下这3个套路。
默认勾选,让你一不留神就授权。很多App在下载后注册登录时,会在界面上显示“我已阅读并同意《用户协议和隐私条款》”,并“贴心”的帮用户悄悄打勾,让你在不经意间就同意了软件的隐私条款。
使用即同意。这类软件甚至根本不给用户选择的余地,只在登录界面下方不起眼处,用小字标出“继续使用即为同意《隐私协议》……”。
用户协议中藏地雷。一些平台行的软件内会有很多外置的第三方软件,但是在隐私协议中,软件方却明确指出“不承担第三方的侵权行为”。
也就是说,当你同意了这份协议后,即便你的隐私被软件内的程序采集并泄露,也与App平台毫无关系!
除此之外,据很多媒体爆料称,有的软件还会利用文字游戏蒙骗用户,让用户同意软件采集信息并出售给第三方平台。还有的软件更是直接将用户信息视为“资产”,许进不许出,很难注销个人信息……
总之,当前手机市场的绝大多数软件,都会索取其服务范围外的权限,进而获取用户信息。
当个人隐私被软件收集后,不但会让我们收到大量的定向广告,还让不法分子能更加轻易地获取我们的个人信息。很多不法商家仅通过爬取软件平台,就能获取大量的用户资源,在网络上贩卖。
例如,你在百度上搜索“数据买卖”,靠前的广告位上就会堂而皇之地出现多家贩卖用户信息的商家广告。
为了获得这些商家交易用户信息的内幕,我假扮成买家添加了商家的微信。
经过交流,我发现他们并不直接贩卖用户信息,而是贩卖一个能够通过App和搜索引擎爬取用户信息的软件。
软件可以直接爬取到目标App上保存用户浏览信息,然后自动筛选出你想要的用户。他们还特意发来演示视频来向我展示爬取过程。
视频中对方称,想要获取网上的用户信息非常简单,只要输入对应的域名和限定信息,系统就能自动爬取到用户的姓名手机等信息。
在互联网上,类似的软件和商家并不鲜见。像去年北京一家名为@瑞智华盛的互联网公司,就通过非法植入软件,采集了超过30亿条个人信息。
手机软件的过度索权,将我们的个人信息更多的存留在软件平台上,也让很多不法分子能够更加轻易的盗取我们的隐私数据。
当我们的隐私数据被类似的商家获取,并在网上随意买卖时,谁也不知道我们的隐私信息会流向何处,被哪些不法商家利用。
程序化广告发展至今,精准投放已经成为了互联网广告投放的基本逻辑。据@Inmobi预测,2019年中国的程序化广告将突破1900亿人民币,移动广告支出增长达到111%。
但产业增长的背后,是绝大多数手机软件都在过度索权,是我们的隐私被肆意地侵犯。
尽管在今年5月,国家互联网信息办公室曾发布《数据安全管理办法(征求意见稿)》,但截止到目前为止还没有落地实行。
所以到现在为止,仍然没有有效的法律手段来管控商家,我们也没有办法完全不用互联网、不下载手机软件。
但是我们可以打开手机设置-隐私,看看哪些App偷偷用了它们本不需要的权限,把这些权限统统都关掉。